Phần đầu trình bày các kiến thức cơbản vềWAN, các yêu cầu khi thiết kếWAN,
các công nghệvà các thiết bịdùng cho kết nối WAN. Đồng thời đưa ra so sánh và
đánh giá các công nghệnày.
Phần hai trình bày phương pháp thiết kếWAN bao gồm các mô hình phục vụcho
thiết kếvà đi sâu vào mô hình an toàn an ninh, là một vấn đề đặc biệt quan trọng
khi thiết kếWAN. Trong phần này chúng tôi cũng đưa ra các bước phân tích và
thiết kếWAN.
Phần cuối trình bày chi tiết mẫu thiết kếhệthống WAN đơn giản nhưng khá phổ
biến cho các cơquan và tổchức chính phủ ởViệt Nam hiện nay, đó là thiết kế
WAN cho Trung tâm Thông tin của một Bộ, ngành mà chúng tôi đã triển khai
trong thực tế.
165 trang |
Chia sẻ: aloso | Lượt xem: 2184 | Lượt tải: 1
Bạn đang xem trước 20 trang tài liệu Giáo trình thiết kế mạng LAN WAN, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
nhập được
vào mạng với quyền lớn, hay mò ra các thông tin quan trọng.
Hành động quét (Scan).
Hành động quét là việc dùng một công cụ tự động để thực hiện thăm dò tìm lỗ
hổng an ninh của hệ thống với một số lượng lớn. Hành động quét đôi khi là kết
quả của một lỗi hệ thống như hỏng hay mất cấu hình của một dịch vụ. Nhưng cũng
có thể là giai đoạn đầu mà tin tặc dùng để tìm các lỗ hổng an ninh mạng chuẩn bị
cho một cuộc tấn công. Quản trị hệ thống cũng có thể dùng phương pháp quét để
phát hiện các điểm yếu về an ninh - an toàn trong hệ thống mạng của mình.
Hành động vào một tài khoản (Account Compromise).
Hành động vào một tài khoản là hành động dùng một tài khoản không được phép.
Hành động này có thể gây mất dữ liệu quan trọng, hay là hành động dùng trộm
dịch vụ, lấy cắp dữ liệu. Người dùng mạng bị tin tặc lấy cắp mật khẩu. Cách vào
một máy tính dễ nhất là có được mật khẩu và vào máy bằng lệnh login; rào cản tin
tặc đầu tiên là mật khẩu. Nếu mật khẩu bị mất, thì tin tặc có thể làm mọi thứ mà
người dùng đó được phép.
Hành động vào quyền quản trị (Root Compromise).
Hành động vào quyền quản trị là hành động vào một tài khoản có quyền lớn nhất
của hệ thống, do vậy có thể gây ra những hậu quả rất nghiêm trọng cho hệ thống.
Từ việc thay đổi toàn bộ cấu hình của hệ thống, đến việc cài đặt các công cụ phá
hoại, lấy cắp thông tin, cho đến việc tổ chức các cuộc tấn công lớn.
Hành động thu lượm các gói tin (Packet Sniffer).
130
Hành động thu lượm các gói tin là việc thực hiện chương trình bắt các gói dữ liệu
đang truyền trên mạng do vậy bắt được cả thông tin người dùng, mật khẩu và cả
các thông tin riêng tư ở dạng văn bản. Dựa vào các thông tin thu lượm được tin tặc
có thể thực hiện tấn công hệ thống.
Hành động tấn công từ chối dịch vụ (Denial of Service).
Mục đích của hành động tấn công từ chối dịch vụ là ngăn cản không cho người
dùng hợp pháp sử dụng dịch vụ. Tấn công từ chối dịch vụ có thể thực hiện bằng
nhiều cách, như tạo tìm cách sử dụng bất hợp pháp tất cả các tài nguyên mạng như
treo các kết nối, tạo luồng dữ liệu lớn, gây tắc nghẽn tại các cổng kết nối,...
Làm thế nào để đảm bảo an toàn-an ninh khi kết nối WAN?
Các vấn đề về an ninh-an toàn khi kết nối WAN cần được xem xét và thực hiện
sau khi đã chọn giải pháp kết nối, nhất là khi kết nối WAN cho các mạng công tác,
mà sử dụng các mạng dữ liệu công cộng, hay mạng internet.
3.2.2.2 Xây dựng mô hình an ninh-an toàn khi kết nối WAN
¾ Các bước xây dựng :
− Xác định cần bảo vệ cái gì ?
− Xác định bảo vệ khỏi các loại tấn công nào ?
− Xác định các mối đe dọa an ninh có thể ?
− Xác định các công cụ để bảo đảm an ninh ?
− Xây dựng mô hình an ninh-an toàn
Thường xuyên kiểm tra các bước trên, nâng cấp, cập nhật và vá hệ thống khi có
một lỗ hổng an ninh - an toàn được cảnh báo.
Mục đích của việc xây dựng mô hình an ninh - an toàn khi kết nối WAN là xây
dựng các phương án để triển khai vấn đề an ninh - an toàn khi kết nối và đưa
WAN vào hoạt động.
Đầu tiên, mục đích và yêu cầu về an ninh-an toàn hệ thống ứng dụng phải được
vạch ra rõ ràng. Chẳng hạn mục tiêu và yêu cầu an ninh-an toàn khi kết nối WAN
cho các cơ quan hành chính nhà nước sẽ khác với việc kết nối WAN cho các
trường đại học.
Thứ hai, mô hình an ninh-an toàn phải phù hợp với các chính sách, nguyên tắc và
luật lệ hiện hành.
Thứ ba, phải giải quyết các vấn đề liên quan đến an ninh-an toàn một cách toàn
cục. Có nghĩa là phải đảm bảo cả về phương tiện kỹ thuật và con người triển khai.
131
3.2.2.3 Một số công cụ triển khai mô hình an toàn-an ninh
¾ Hệ thống tường lửa 3 phần(Three-Part Firewall System)
• Tường lửa là gì?
Tường lửa là một công cụ phục vụ cho việc thực hiện an ninh - an toàn
mạng từ vòng ngoài, nhiệm vụ của nó như là hệ thống hàng rào vòng ngoài
của cơ sở cần bảo vệ. Khi kết nối hai hay nhiều phần tử của WAN, chẳng
hạn kết nối một NOC với với nhiều POP, khi đó nguy cơ mất an ninh tại
các điển kết nối là rất lớn, tường lửa là công cụ được chọn đặt tại các điểm
kết nối đó.
Tường lửa trong tiếng Anh là Firewall, là ghép của 2 từ fireproof và wall
nghĩa là ngăn không cho lửa cháy lan. Trong xây dựng, tường lửa được
thiết kế để giữ không cho lửa lan từ phần này của toà nhà sang phần khác
của toà nhà khi có hoả hoạn. Trong công nghệ mạng, tường lửa được xây
dựng với mục đích tương tự, nó ngăn ngừa các hiểm hoạ từ phía cộng đồng
các mạng công cộng hay mạng INTERNET, hay tấn công vào một mạng
nội bộ (internal network) của một công ty, hay một tổ chức khi mạng này
kết nối qua mạng công cộng, hay INTERNET.
• Chức năng của hệ thống tường lửa:
Tường lửa đặt ở cổng vào/ra của mạng, kiểm soát việc truy nhập vào/ra
mạng nội bộ để ngăn ngừa tấn công từ phía ngoài vào mạng nội bộ.
Tường lửa phải kiểm tra, phát hiện, dò tìm dấu vết tất cả các dữ liệu đi qua
nó để làm cơ sở cho các quyết định (cho phép, loại bỏ, xác thực, mã hoá,
ghi nhật ký,..) kiểm soát các dịch vụ của mạng nó bảo vệ.
Để đảm bảo mức độ an ninh - an toàn cao, tường lửa phải có khả năng truy
nhập, phân tích và sử dụng các thông tin về truyền thông trong cả 7 tầng và
các trạng thái của các phiên truyền thông và các ứng dụng. Tường lửa cũng
phải có khả năng thao tác các các dữ liệu bằng các phép toán logic, số học
nhằm thực hiện các yêu cầu về an ninh - an toàn. Tường lửa bao gồm các
thành phần: các bộ lọc hay sàng lọc.
Gateway
Cæng Vµo/ra
Bé Läc
Vµo
Bé Läc
ra
M« h×nh t−êng löa
M¹ng trong M¹ng Ngoµi
Hình 3-22: Mô hình logic của tường lửa
132
Tường lửa chính là cổng (gateway) vào/ra của một mạng nội bộ (mạng
trong), trên đó có đặt 2 bộ lọc vào/ra để kiểm soát dữ liệu vào/ra mạng nội
bộ.
Xác định vị trí đặt tường lửa trong hệ thống mạng hiện đại.
Theo truyền thống thì tường lửa được đặt tại vị trí vào/ra mạng nội bộ
(mạng được bảo vệ) với mạng công cộng(mạng ngoài), hay mạng internet
( internet, khi kết nối với internet).
Ngày nay trong một tổ chức khi kết nối WAN có thể kết nối đoạn mạng
khác nhau, và do yêu cầu về an ninh - an toàn của các đoạn mạng đó khác
nhau. Khi đó tường lửa sẽ được đặt ở vị trí vào/ra của các đoạn mạng cần
bảo vệ. Dưới đây các đoạn mạng 1, 5, 7 cần bảo vệ.
M¹ng 1
M¹ng 3
M¹ng 1
M¹ng 4
M¹ng 5
M¹ng 6
M 7
M¹ng 1M 2
FW
FW
FW
FW
Hình 3-23: Vị trí đặt tường lửa trên mạng
Dữ liệu vào/ra mạng nội bộ với mạng ngoài đều đi qua tường lửa, do đó
tường lửa có thể kiểm soát và đảm bảo dữ liệu nào là có thể được chấp nhận
(acceptable) cho phép vào/ra mạng nội bộ.
Về mặt logic thì tường lửa là bộ tách, bộ hạn chế và bộ phân tích. Tường
lửa là điểm thắt(choke point). Cơ chế này bắt buộc những kẻ tấn công từ
phía ngoài chỉ có thể thâm nhập vào hệ thống qua một kênh rất hẹp (nơi này
thể giám sát và điều khiển được). Cơ chế này hoạt động cũng tương tự như
các trạm thu phí giao thông đặt tại các đầu cầu, hay các điểm kiểm soát vé
vào cổng ở một sân vận động. Tuy nhiên cơ chế này có một yếu điểm là nó
không thể ngăn chặn được những kẻ tấn công xâm nhập vào hệ thống bằng
cách đi vòng qua nó, hay tấn công từ bên trong.
Các mối đe dọa mà tường lửa có thể chống lại được là:
133
Chống lại các cuộc thâm nhập từ xa đến các nguồn thông tin khi không
được phép.
Từ chối các dịch vụ đưa thông tin từ mạng ngoài vào mạng nội bộ với mục
đích làm rối loạn hệ thống.
Quản lý được truy nhập ra mạng ngoài, do đó cấm được truy nhập từ mạng
nội bộ ra ngoài khi cần thiết.
Bằng cơ chế xác thực chống lại sự giả danh để truy nhập mạng từ mạng
ngoài vào.
Ngoài ra tường lửa còn có khả năng trợ giúp cho người quan trị hệ thống
như ghi nhật ký, điểu khiển truy nhập, phát hiện các thâm nhập đáng ngờ,
có phản ứng khi có các trạng thái khả nghi, ...
Ngoài những ưu điểm đã liệt kê ở trên, thì tường lửa cũng có nhược điểm
như tường lửa không chống được virút, không chống lại được tin tặc tấn
cống từ cổng sau (backdoor)
Hình 3-24: Mô hình hệ thống tường lửa 3 phần
¾ Hệ thống phát hiện đột nhập mạng
Giới thiệu
Như đã trình bầy ở phần trên công nghệ tường lửa không thể bảo vệ an ninh - an
toàn mạng đầy đủ, nó chỉ là một phần trong mô hình an ninh-an toàn khi kết nối
WAN. Tường lửa không tự nhận ra được các cuộc tấn công và cũng không tự ngăn
chặn được các cuộc tấn công đó. Có thể xem hệ thống tường lửa như hàng rào và
hệ thống gác cổng vào/ra, không có khả năng phát hiện tin tặc tấn công, cũng
không tự phản ứng được với các cuộc tấn công mà nó chưa biết trước .
134
Trong phần này chúng ta trình bầy một công cụ phục vụ an ninh - an toàn mạng
thứ hai, đó là công nghệ phát hiện đột nhập, nó là công cụ bổ sung cho công cụ
tường lửa. Nếu tường lửa là các trạm gác, thì hệ thống phát hiện đột nhập được
xem như hệ thống các camera/video theo dõi, giám sát và là hệ thống báo động.
Nó thường được đặt ở ngay trong trạm gác "tường lửa", hay đặt ở các vị trí quan
trọng bên trong của mạng, nhằm chủ động phát hiện ra dấu hiệu mất an ninh-an
toàn, hay phát hiện ra các cuộc tấn công không biết trước.
Hệ phát hiện đột nhập mạng là gì?
Là hệ thống nhằm phát hiện ra việc sử dụng không hợp pháp tài nguyên hệ thống,
phát hiện những hoạt động lạm dụng, tấn công vào hệ thống máy tính hoặc mạng
máy tính. Hệ phát hiện đột nhập IDS (intrusion detection system) là hệ thống bao
gồm phần mềm và phần cứng thực hiện việc theo dõi, giám sát, thu nhận thông tin
từ các nguồn khác nhau, sau đó phân tích để phát hiện ra dấu hiệu (“signature”)
của sự đột nhập (dấu hiệu của các hoạt động tấn công hay lạm dụng hệ thống),
cảnh báo cho quản trị hệ thống, hay ra các quyết định phản ứng để phòng vệ. Nói
một cách tổng quát IDS là hệ thống cho phép phát hiện các dấu hiệu làm hại đến
tính bảo mật, tính toàn vẹn, và tính sẵn dùng của hệ thống máy tính hay hệ thống
mạng máy tính làm cơ sở cho việc phản ứng lại, bảo đảm an ninh - an toàn hệ
thống.
Để phát hiện ra những dấu hiệu của sự đột nhập, IDS cần phân tích các hoạt động
của hệ thống, đồng thời nó phải có khả năng chỉ ra hoạt động nào là hoạt động tấn
công hoặc lạm dụng hệ thống. Đôi khi để phát hiện sự đột nhập cần phải kết hợp
nhiều phương pháp phân tích và quá trình phân tích cũng chia ra làm nhiều bước
để phát hiện việc đột nhập đã vào chưa và ở mức độ nào (trước khi, trong khi, hay
sau khi đã đột nhập thành công vào hệ thống?). Chẳng hạn một cuộc đột nhập bị
phát hiện trước khi xảy ra thì người quản trị hệ thống sẽ dễ dàng ngăn chặn hoặc
là cơ sở để giăng bẫy để bắt kẻ đột nhập khi chúng đột nhập và tấn công vào hệ
thống (thu thập chứng cứ cho việc truy tố sau này). Nếu việc đột nhập được phát
hiện trong khi đang xảy ra, hay thậm chí sau khi nó đã hoàn thành, thì điều phải
làm đầu tiên của người quản trị hệ thống là đánh giá mức độ gây hại và cô lập
đoạn mạng bị tấn công.
Cơ sở để thực hiện phản ứng lại với những hoạt động gây hại thường là ghi các sự
kiện ra một hay nhiều nhật ký hệ thống thuận tiện cho việc phân tích sau này. Hệ
thống phát hiện đột nhập cũng có thể được cấu hình để báo động khi có dấu hiệu
135
tấn công được phát hiện (dấu hiệu này được lưu trong cơ sở dữ liệu các dấu hiệu
về các cuộc tấn công đã được biết). Phản ứng lại với các hoạt động gây hại cũng
có thể là ngăn chặn tin tặc truy nhập vào hệ thống hoặc cho phép truy nhập kèm
theo giám sát chặt, hoặc kích hoạt hệ thống tường lửa ngăn chặn các tác nhân gây
hại.
Những hoạt động đột nhập là những hoạt động xâm nhập vào hệ thống một cách
có ý thức mà không được phép của chủ hệ thống, nhằm mục đích:
− Truy cập các thông tin không được phép.
− Phá hoại thông tin.
− Phá hoại an ninh- an toàn hệ thống, làm cho hệ thống trở nên không tin
cậy hoặc không hoạt động được,....
Hình 3-25: đồ cấu trúc của một hệ thống phát hiện đột nhập
Người đột nhập trong cuộc xâm nhập vào một hệ thống một cách có ý thức được
phân làm hai dạng: từ bên trong và từ bên ngoài. Những kẻ đột nhập từ bên ngoài
là những người không có quyền truy nhập vào máy hay mạng. Những kẻ xâm nhập
từ bên trong là những người dùng hợp pháp nhưng chỉ được cấp quyền hạn chế
trong hệ thống. Họ hoạt động bằng cách cố gắng truy cập tới những phần mà họ
không được phép truy nhập của hệ thống. Họ truy nhập vì tò mò hoặc để lấy trộm
thông tin không được phép.
Hệ phát hiện đột nhập là một hệ thống có các chức năng sau:
− Theo dõi, giám sát toàn mạng, thu nhận thông tin từ nhiều nguồn khác
nhau của hệ thống.
− Phân tích những thông tin đã nhận được, để phát hiện những dấu hiệu
phản ánh sự lạm dụng hệ thống hoặc những dấu hiệu phản ánh những hoạt
động bất thường xảy ra trong hệ thống.
136
− Quản lý, phân tích hoạt động của người sử dụng hệ thống.
− Kiểm tra cấu hình hệ thống và phát hiện khả năng hệ thống có thể bị tấn
công.
− Phân tích bằng thống kê để phát hiện những dấu hiệu thể hiện hoạt động
bất thường của hệ thống.
− Quản lý nhật ký của hệ điều hành để phát hiện các hoạt đông vi phạm
quyền của các người dùng.
− Tổ chức tự động phản ứng lại những hành động đột nhập hay gây hại mà
nó phát hiện ra, ghi nhận những kết quả của nó.
Hình 3-26: Các vị trí đặt hệ phát hiện đột nhập
¾ Hệ thống phát hiện lỗ hổng an ninh
Hệ thống phát hiện lỗ hổ an ninh là hệ thống gồm các công cụ quét, và thử thăm
dò tấn công mạng. Nó được người quản trị mạng dùng để phát hiện ra các lỗ hổng
về an ninh an toàn trước khi đưa mạng vào hoạt động, và thường xuyên theo dõi
để nâng cấp, vá các lỗ hỏng an ninh.
3.2.2.4 Bảo mật thông tin trên mạng
Công nghệ mã mật (cryptography)
Một trong những nguyên nhân sơ đẳng mà tin tặc có thể thành công là hầu hết các
thông tin chúng ta truyền trên mạng đều ở dạng dễ đọc, dễ hiểu. Khi chúng ta kết
nối WAN bằng công nghệ IP thì tin tặc dễ dàng thấy có thể bắt các gói tin bằng
công cụ bắt gói (network sniffer), có thể khai thác các thông tin này để thực hiện
tấn công mạng. Một giải pháp để giải quyết vấn đề này là dùng mật mã để ngăn tin
tặc có thể khai thác các thông tin chúng bắt được khi nó đang được truyền trên
mạng.
Mã hoá (Encryption) là quá trình dịch thông tin từ dạng nguồn dễ đọc sang dạng
mã khó hiểu.Giải mã (Decryption) là quá trình ngược lại. Việc dùng mật mã sẽ
đảm bảo tính bảo mật của thông tin truyền trên mạng, cũng như bảo vệ tính toàn
vẹn, tính xác thực của thông tin khi lưu trữ.
137
Mã mật được xây dựng để đảm bảo tính bảo mật (confidentiality), khi dữ liệu lưu
chuyển trên mạng. Khi dữ liệu đã được mã hóa thì chỉ khi biết cách giải mã mới có
khả năng sử dụng dữ liệu đó. Hiện nay các kỹ thuật mã hóa đã phát triển rất mạnh
với rất nhiều thuật toán mã hóa khác nhau. Các hệ mã khoá được chia làm hai lớp
chính: Mã khoá đối xứng hay còn gọi là mã khoá bí mật. Mã khoá bất đối xứng
hay còn gọi là mã khoá công khai.
Hệ mã đối xứng – Khoá mã bí mật.
Hệ mã đối xứng là hệ sử dụng một khoá bí mật cho các tác vụ mã hoá và giải mã.
Có nhiều thuật toán khoá bí mật khác nhau nhưng giải thuật được dùng nhiều nhất
trong loại này là:
DES (Data Encryption Standard). DES mã hoá khối dữ liệu 64 bit dùng khoá 56
bit. Hiện nay trong một số hệ thống sử dụng DES3 (sử dụng 168bit khoá thực
chất là 3 khoá 56 bit)
IDEA (International Data Encryption Standard).IDEA trái với DES, nó được thiết
kế để sử dụng hiệu quả hơn bằng phần mềm. Thay vì biến đổi dữ liệu trên các khối
có độ dài 64 bit, IDEA sử dụng khóa 128 bit để chuyển đổi khối dữ liệu có độ dài
64 bit tạo ra khối mã cũng có dài 64 bit. Thuật toán này đã được chứng minh là
khá an toàn và rõ ràng là hơn hẳn DES.
Các hệ mã hoá đối xứng thường được sử dụng trong quân đội, nội vụ, ngân hàng,...
và một số hệ thống yêu cầu an toàn cao.
Vấn đề khó khăn khi sử dụng khoá bí mật là vấn đề trao đổi khoá. Trao đổi khoá bí
mật luôn phải truyền trên một kênh truyền riêng đặc biệt an toàn, tuyệt đối không
sử dụng kênh truyền là kênh truyền dữ liệu.
Hệ mã bất đối xứng – Khoá mã công khai.
Mã khoá công khai đã được tạo ra để giải quyết hai vấn đề khó khăn nhất trong
khoá quy ước đó là sự phân bố khoá và chữ ký số.
Hoạt động của hệ thống mạng sử dụng mã khoá công khai như sau:
Khởi tạo hệ thống đầu cuối:
Mỗi hệ thống đầu cuối trong mạng tạo ra một cặp khoá để dùng mã hoá và giải mã
thông tin sẽ nhận. Khoá thứ nhất K1 là khoá bí mật; Khoá thứ hai K2 là khóa công
khai.
Các hệ thống công bố rộng rãi khoá K2 của mình trên mạng. Khoá K1 được giữ bí
mật.
Mã hoá và giải mã thông tin:
138
Khi một người dùng A muốn gửi thông tin cho người dùng B
Người dùng A sẽ mã hoá thông tin bằng khoá công khai của người dùng B (K2B).
Khi người dùng B nhận được thông tin nó sẽ giải mã thông tin bằng khoá bí mật
của mình (K1B).
Chữ ký số
Khi người dùng A gửi chữ ký cho người dùng B
Người dùng A mã hoá chữ ký của mình bằng khoá bí mật của chính mình (K1A).
Người dùng B nhận được chữ ký của người dùng A, người dùng B sẽ giải mã chữ
ký của người dùng A bằng khoá công khai của người dùng A (K2A).
Chuyển đổi khoá
Khi người dùng A gửi thông tin khoá cho người dùng B.
Người dùng A mã hoá thông tin khoá 2 lần. Lần đầu bằng khoá bí mật của bản
thân (K1A); Lần hai bằng mã công khai của người nhận (K2B).
Người dùng B nhận được thông tin khoá sẽ giải mã thông tin khoá hai lần. Lần đầu
bằng khoá bí mật của bản thân (K1B). Lần 2 bằng khoá công khai của người gửi
(K2A).
Một số giải thuật cho mã khoá công khai được sử dụng như: Diffie_Hellman, RSA,
ECC, LUC, DSS,...
¾ Mô hình ứng dụng
Mô hình ứng dụng là mô hình xây dựng trên các ứng dụng yêu cầu kết nối WAN
Phân tích kết nối dựa trên các yêu cầu ứng dụng
Tách, gộp các ứng dụng, đánh giá yêu cầu giải thông, đánh giá yêu cầu chất kượng
dịch vụ, đánh giá yêu cầu độ tin cậy của các kết nối,...
Trên cơ sở các mô hình phân cấp, mô hình tôpô, mô hình ứng dụng, và mô hình an
ninh của WAN cần thiết kế đã được xây dựng, chúng ta tiến hành các bước phân
tích các yêu cầu của WAN.
• Phân tích yêu cầu về hiệu năng mạng
Từ mô hình tôpô chúng ta có thể tính khoảng cách kết nối, mô hình ứng
dụng để dự tính giải thông, phối hợp mô hình an ninh để lựa chọn thiết bị
khi đã chọn công nghệ kết nối ở phần trên. Đánh giá thời gian đáp ứng giữa
các trạm hay các thiết bị trên mạng, Đánh giá độ trễ đối với các ứng dụng
khi người dùng truy nhập hay yêu cầu . Đánh giá yêu cầu các đòi hỏi về
băng thông của các ứng dụng trên mạng,
139
Đánh giá công suất mạng đáp ứng khi người sử dụng tăng đột biến tại các
điểm cổ chai. Toàn bộ các yêu cầu nầy cần được tối ưu chọn giải pháp hợp
lý thoả mãn các chỉ tiêu: dịch vụ tin cậy, chi phí truyền thông tối thiểu,
băng thông sử dụng tối ưu.
• Phân tích các yêu cầu về quả lý mạng:
Từ mô hình tôpô, mô hình ứng dụng, và mô hình an ninh có thể dự báo qui
mô độ phức tạp của WAN, để đưa ra các yêu cầu về quản lý mạng, và đảm
bảo dịch vụ, cũng như đảm bảo về an ninh mạng. Các yêu cầu về quản lý
mạng cần xác định như: phương thức-kỹ thuật quản lý mạng, phương thức
quan sát hiệu năng mạng,
phương thức phát hiện lỗi của mạng, và phương thức quản lý cấu hình
mạng.
• Phân tích các yêu cầu về an ninh-an toàn mạng:
Xác định các kiểu an ninh-an toàn,
Xác định các yêu cầu cần bảo vệ khi kết nối với mạng ngoài, và kết nối với
internet,...
• Phân tích các yêu cầu về ứng dụng:
Từ mô hình tôpô, mô hình ứng dụng, mô hình phòng ban xác định các ứng
dụng cần triển khai ngay trên mạng, dự báo các ứng dụng có khả năng triển
khai trong tương lai, dự tính số người sử dụng trên từng ứng dụng , giải
thông cần thiết cho từng ứng dụng, các giao thức mạng triên khai ngay, và
các giao thức sẽ dùng trong tương lai gần, tương lai xa,... tính toán phân bố
tối ưu thời gian dùng mạng,…
Xác định các yêu cầu về ứng dụng và các ràng buộc về tài chính, thời gian
thực hiện, yêu cầu về chính trị của dự án, xác định nguồn nhân lực, xác
định các tài nguyên đã có và có thể tái sử dụng.
Từ các yêu cầu chúng ta tiến hành bước lựa chọn công nghệ kết nối:
• Chọn công nghệ kết nối theo các chỉ tiêu:
o Giá thành, và tốc độ truyền là 2 yếu tố quan trọng nhất khi lựa chọn
công nghệ kết nối WAN, sau đó là độ tin cậy, và khả năng đáp ứng
yêu cầu dải thông của các ứng dụng.
o Chi phí cho kết nối bao gồm chi phí thiết bị, chi phí cài đặt ban đầu, và
đặc biệt phải xem xét là chi phí hàng tháng, và chi phí duy trì hệ thống.
140
o Ở Việt Nam hiện nay đã có nhiều nhà cung cấp dịch vụ viễn thông,
vấn đề chọn nhà cung cấp dịch vụ viễn thông nào, hay tự đầu tư là
vấn đề cần cân nhắc trong thiết kế đưa ra các giải pháp kết nối khả
thi.
• Xác định công nghệ kết nối, nhà cung cấp dịch vụ viễn thông
• Thực hiện lựa chọn các thiết bị phần cứng:
o Chọn router, chọn gateway,
o Chọn modem, NTU,...
o Chọn Access server
o Chọn bộ chuyển mạch WAN
o Chọn các Server ứng dụng(Web, mail, CSDL,....)
• Lựa chọn phần mềm ứng dụng, các bộ phần mềm tích hợp,...
• Lựa chọn hệ điều hành mạng
• Lựa chọn các hệ quản trị cơ sở dữ liệu
• Lựa chọn các phương thức giao tác trên mạng
• Đánh giá khả năng: Để kiểm tra thiết kế đã đưa ra chúng ta phải đánh giá
được tất cả các mô hình, các phân tích, và các lựa chọn. Một trong phương
pháp đánh giá sát với thực tế nhất là xây dựng Pilot thử nghiệm, hay thực
hiện triển khai pha thử nghiệm với việc thể hiện các yếu tố cơ bản nhất của
thiết kế.
• Triển khai thử nghiệm:
o Lựa chọn một phần của dự án để đưa vào triển khai thử nghiệm.
o Lập hội đồng đánh giá sau pha thử nghiệm.
3.3 Phân tích một số mạng WAN mẫu
Phần này đưa ra một số WAN minh hoạ:
Xây dựng WAN cho trung tâm thông tin của một bộ ngành.
¾ Phân tích yêu cầu:
Mục tiêu của hệ thống: hệ thống WAN và truy cập từ xa, cho trung tâm thông tin
của một bộ được thiết kế nhằm đảm bảo các mục tiêu sau đây:
− Hệ thống này được xây dựng trên các thành phố Hà Nội, Hồ Chí Minh, Đà
Nẵng và Cần Thơ;
− Tại mỗi thành phố, các chi nhánh được kết nối tới trụ sở chính;
− Trụ sở chính đặt tại Trung tâm thông tin mạng
141
− Tại các Trụ sở chính, hệ thống mạng được thiết kế mở, cho phép dễ dàng
kết nối tới chi nhánh và trụ sở khác qua nhiều cách thức kết nối mạng diện
rộng khác nhau hiện có tại Việt Nam như Leased line, vô tuyến trải phổ,
ISDN, Frame Relay, VPN, Dialup...;
− Các hệ thống đều có độ ổn định, chính xác cao;
− Phải bảo toàn được đầu tư ban đầu cho hệ thống của Khách hàng.
Các yêu cầu của hệ thống:
− Kết nối được với Internet;
− Có thể truy cập vào trung tâm mạng (NOC) qua mạng điện thoại công
cộng PSTN
− Hệ thống được được thiết kế như một ISP cỡ nhở;
− Hệ thống kết nối và truy cập phải có tốc độ cao, hoạt động ổn định, đảm
bảo các yêu cầu về bảo mật thông tin, an toàn tuyệt đối cho dữ liệu và các
thông tin quan trọng;
− Hệ thống mạng được thiết kế và xây dựng để đảm bảo có thể đáp ứng một
cách đầy đủ nhu cầu khai thác thông tin, cũng như tốc độ truy xuất thông
tin từ trung tâm mạng tới các chi nhánh và tới Internet;
− Hệ thống mạng phục vụ công tác nghiệp vụ và khai thác Internet cho
khoảng 100 nút mạng trong Trung tâm mạng;
− Hỗ trợ các cách thức kết nối mạng diện rộng với các chi nhánh hiện có tại
Việt Nam và tương lai như Leased line, ISDN, Frame Relay, xDSL, dialup
qua mạng điện thoại công cộng...
− Có khả năng mở rộng và đáp ứng được yêu cầu của các ứng dụng đòi hỏi
tốc độ cao hiện nay và trong tương lai sẽ triển khai thư viện điện tử, các
ứng dụng đa phương tiện, hội nghị viễn đàm,...mà không bị phá vỡ cấu
trúc thiết kế ban đầu;
− Phân mạng truy cập các phân mạng nhỏ phải được bảo vệ qua hệ thống
tường lửa thông qua chính sách an ninh chặt chẽ đối với từng phân mạng ;
− Đường kết nối với Internet phải đảm bảo tốc độ cao, ổn định và độ sẵn
sàng cao thông qua hai kênh thuê riêng tới hai nhà cung cấp IXP/ISP khác
nhau. Để có thể thực hiện các mục tiêu như Quảng bá Website: Cho phép
người dùng từ ngoài Internet (bao gồm trong và ngoài Việt Nam) có thể
truy nhập đến các trang Web đặt tại máy chủ của Khách hàng. Đây chính
là môi trường quảng bá thông tin, chính sách, v.v... nhanh nhất, tiện lợi
142
nhất.Truy nhập Internet: Cho phép người sử dụng trong nội bộ mạng có
khả năng truy nhập các thông tin trên Internet. Hiện tại, Trung tâm được
thiết kế cho khoảng 100 thành viên. Cho phép người dùng trong mạng sử
dụng các dịch vụ Internet như Web, FTP, trao đổi thông tin, diễn đàn thảo
luận,...và cuối cùng là băng thông đường truyền kết nối Internet phải được
đảm bảo, cho phép các hệ thống dịch vụ như Hệ thống tìm kiếm (Search
Engine) dùng để thu thập thông tin trên Internet, cập nhật Website, v.v...
− Các thiết bị kết nối và truy nhập được chọn lựa từ các hãng cung cấp thiết
bị mạng nổi tiếng có uy tín trên thế giới như Cisco, Nortel, .. để đảm bảo
độ ổn định, độ bền và dễ dàng nâng cấp khi cần thiết.
Hệ thống mạng tại Hà Nội và thành phố Hồ Chí Minh được thiết kế là trung tâm
mạng, cho phép các chi nhánh có thể truy nhập bằng nhiều phương thức và có thể
kết nối với Internet.
Do kinh phí hạn chế nên chúng ta có thể thực hiện thành nhiều pha. Pha 1 triển
khai tại tổng hành dinh (head office).
Nhìn từ góc độ tổ chức hệ thống mạng,và các yêu cầu kỹ thuật, cũng như các yêu
cầu ứng dụng, trung tâm thông tin của một bộ vừa là một nơi chứa và cung cấp
thông tin, tương tự như một nhà cấp nội dung (ICP), vừa là nơi cung cấp dịch vụ
truy nhập từ xa, và kết nối các chi nhánh tương tự như một nhà cung cấp dịch vụ
Internet (ISP). Do đó thiết kế sẽ có thể tham khảo hệ thống mạng của một nhà
cung cấp dịch vụ Internet vớicác hoạt động lõi là kho thông tin và hệ thống biên
tập tin.
Cấu hình cơ bản bao gồm một số phân mạng (Subnet) với các mức độ an ninh -
bảo vệ khác nhau tùy theo chức năng và được tách biệt bởi hệ tường lửa.
Phân lớp mạng cung cấp truy nhập (Access Network): Cung cấp truy nhập từ
xa vào trung tâm mạng(NOC) bằng nhiều phương thức như từ Internet và từ
người dùng quay số (Dialup) qua mạng điện thoại công cộng (PSTN).
Thiết bị trung tâm của phân mạng cung cấp truy nhập bao gồm: Bộ định tuyến –
Router, đây là thiết bị thực hiện các kết nối WAN trung tâm mạng với các chi
nhánh, và từ mạng trong ra Internet trên các kênh thuê riêng (leased line), VPN,
hay vô tuyến trải phổ tuỳ theo yêu cầu chất lượng, và chi phí kết nối phải trả.
Hệ thống kết nối này cũng phải được thiết kế có khả năng mở rộng cao, dễ dàng
nâng cấp đường khi có yêu cầu.
143
Hình 3-27: Mô hình topo WAN kết nối tổng hành dinh với các chi nhánh
Dịch vụ cung cấp truy nhập từ xa qua mạng điện thoại công cộng PSTN được thực
hiện thông qua Access Server, chủ yếu cấp cho các thành viên của trung tâm truy
cập từ xa. Access Server cần phải lựa chọn để đảm bảo tốc độ kết nối và có thể
được mở rộng được.
Các kết nối qua đường Leased line chủ yếu phục vụ trao đổi thông tin giữa các chi
nhánh và trung tâm. Dung lượng leased line phhổ biến bắt đầu từ 64 Kbps và có
thể nâng cấp từng bước đến E1 (2,048 Mpbs) do vậy cũng phải chọn thiết bị kết
nối(NTU,...) có thể nâng cấp được tốc độ. Trong trường hợp yêu cầu kết nối có
tốc độ cao hơn thì phải khảo sát khả năng dùng hệ thống cáp quang cùng các thiết
144
bị kết nối SONET, hay các nhà cung cấp dịch vụ viễn thông có thể cung cấp được
không.Hệ thống kết nối kênh tốc đọ cao này cũng cần có giải pháp dự phòng cho
trường hợp có sự cố sẽ không làm gián đoạn kết nối. Giải pháp dự phòng có thể
dùng nối bó qua đường điện thoại công cộng.
Phân lớp mạng cung cấp dịch vụ (Service Network): Cung cấp các dịch vụ chạy
trên bộ giao thức IP như thư điện tử, diễn đàn, truy cập Web và các dịch vụ trên
Internet khác. Dịch vụ tên miền(DNS),... ;
Phụ thuộc vào số lượng người sử dụng của toàn bộ hệ thống mạng, phần mạng
cung cấp dịch vụ này sẽ được thiết kế cho phù hợp. Khả năng có thể mở rộng là
điều được quan tâm hàng đầu trong phần mạng này, một hoặc nhiều máy chủ sẽ
được thêm vào hệ thống cho phép các dịch vụ Web, điện thư hay dịch vụ khác
được phục vụ dựa trên các máy chủ riêng rẽ.
Trong giai đoạn ban đầu với số lượng người dùng hạn chế, số lượng máy chủ chưa
cần tối đa với cấu hình mạnh. Tuy nhiên, đối với hệ thống cần độ sẵn sàng cao,
việc có ít nhất mỗi dịch vụ một máy chủ với cấu hình đủ mạnh, có khả năng thay
thế dịch vụ cho nhau là cần thiết để đảm bảo tính liên tục của dịch vụ.
Các máy chủ ứng dụng là các thiết bị quan trọng nhất cho việc xử lý thông tin,
cũng là trung tâm của toàn bộ hệ thống thông tin. Chúng chịu trách nhiệm lưu trữ,
tính toán, xử lý các thông tin vào/ra của toàn bộ hệ thống. Chúng ta có thể sử dụng
giải pháp của nhiều hãng chẳng hạn như :
− Borland Insprise;
− Oracle;
− Microsoft;
− IBM;
− Bộ phần mềm WebSphere;
− Các hãng khác.
Phân lớp mạng nội bộ (Internal Network): Cung cấp các dịch vụ xác thực người
dùng (Authentication), tính cước (Billing) và quản lý mạng. Đây là lớp cần được
quan tâm bảo vệ nhất trong thiết kế của các hệ thống mạng cung cấp dịch vụ;
Để đảm bảo độ an toàn an ninh cao cho người dùng trong mạng nội bộ, ta có thể
đặt thêm máy chủ xác thực bên ngoài mạng nội bộ.
Dịch vụ xác thực và tính cước được xây dựng dựa trên độ lớn của hệ thống mạng,
số lượng người sử dụng và các yêu cầu tính cước.
145
Các dịch vụ hỗ trợ cung cấp dịch vụ và quản lý mạng khác cũng được thực hiện
trong phân mạng này, trong đó các chức năng quản lý mạng, sao lưu dữ liệu, dịch
vụ khách hàng. Các công cụ chuyên nghiệp có thể được dùng như SyMON đối với
hệ SUN Microsystem hay HP OpenView có thể chạy trên hệ Windows,...
Phân mạng Cơ sở dữ liệu, biên tập (Information Editing): Nơi chứa kho dữ
liệu, đồng thời là nơi làm việc của ban biên tập. Từ đây các thông tin, dữ liệu được
biên tập để cập nhật vào hệ CSDL và Web server. Phân mạng này cũng cần được
bảo vệ chống mọi hình thức xâm nhập trái phép từ bên ngoài với mục đích lấy
thông tin hay phá hoại hệ thống.
Các máy tính trong phân mạng này chỉ được phép truy nhập trong nội bộ và tới
một số máy chủ nhất định như máy chủ Web hay CSDL. Bên ngoài tường lửa
không thể truy nhập tới các máy tính trong phân mạng này.
¾ Lựa chọn phương án kết nối:
Lựa chọn số 1 là dùng cáp đồng trực tiếp nối Leased line
Leased line dùng trực tiếp cáp đồng là cách kết nối phổ biến nhất hiện nay giữa hai
điểm có khoảng cách xa, từ Trung tâm Thông tin tới đầu cuối của nhà cung cấp
IXP/ISP gần nhất.
Tại Việt Nam, để tiết kiệm chi phí thuê băng thông, chúng ta thường thuê một số
kênh cơ sở n x 64K rồi ghép kênh rồi mở rộng dần đạt được băng thông theo yêu
cầu.
Với nhu cầu trước ban đầu của Trung tâm Thông tin , kênh thuê riêng là 128 Kbps.
Với hệ thống này ta dễ dàng nâng cấp từng bước tới E1(2,048 Mbps) bằng cách
thuê và ghép thêm các kênh cơ sở .
Để thực hiện được các yêu cầu và nhiệm vụ ở trên, qua mô hình topo phương án
kết nối được thực hiện như sau:
− Kết nối truyền số liệu (TSL) bằng cáp đồng từ Trung tâm mạng tới Nhà
cung cấp kết nối Internet (IXP). Trong thời điểm hiện tại, Việt Nam đang
có 3 nhà cung cấp IXP là công ty VDC trực thuộc Tổng công ty Bưu chính
Viễn thông, công ty truyền thông FPT và công ty điện tử Viễn thông quân
đội Vietel. Đường truyền này tốc độ khởi điểm được đặt là 128 Kbps, có
khả năng nâng cấp lên tốc độ E1 (2,048 Mbps);
− 01 kênh dự phòng được nối tới một IXP hoặc ISP khác để đảm bảo độ ổn
định cao của hệ thống;
Kênh thuê bao kết nối riêng đi Internet tới một IXP hoặc ISP gần nhất:
146
− Cáp đồng điện thoại thông thường của hạ tầng viễn thông Việt Nam
(đường kính cáp 0,5 mm);
− Sử dụng các tuyến cáp riêng trực tiếp (thông thường là cáp đồng đường
kính cáp 0,9 mm hoặc cáp quang), có thể dùng cho nâng cấp kết nối tới
tốc độ 2,048 Mbps (E1).
Dùng kết nối mạng riêng ảo VPN là lựa chon thứ 2, sau khi so sánh chi phí
kết nối với phương án 1.
Mạng riêng ảo VPN có các ưu điểm:
• Kết nối trực tiếp giữa các điểm bất kỳ (Any-to-Any Connectivity)
Tất cả các địa điểm trong mạng có thể liên hệ trực tiếp với nhau chỉ với một
kết nối vật lý duy nhất tại mỗi địa điểm, không cần dùng leased line hay
PVC. Điều này làm cấu trúc mạng trở nên đơn giản và cho phép mở rộng
mạng một cách nhanh chóng không cần thiết kế lại mạng hay làm gián đoạn
hoạt động của mạng.
• Dùng các công nghệ kết nối khác nhau
VPN cho phép lựa chọn các công nghệ kết nối khác nhau (leased line,
frame relay, ADSL, Ethernet, PSTN, ...) tuỳ thuộc vào yêu cầu về băng
thông và phương thức kết nối tại mỗi điểm của người dùng.
Có thể tích hợp dữ liệu, thoại và video (Data, Voice and Video
Convergence)
Với các công nghệ quản lý chất lượng dịch vụ (QoS) chuẩn, tất cả các ứng
dụng dữ liệu, thoại và video có thể chạy trên một Mạng IP riêng, không cần
có các mạng riêng rẽ hay thiết bị chuyên dùng.
• Độ bảo mật cao (High Network Privacy)
Hệ thống bảo mật có sẵn trong mạng sử dụng công nghệ Chuyển mạch
nhãn đa giao thức (Multi-Protocol Label Switching - MPLS) cho phép phân
tách luồng dữ liệu của mỗi khách hàng ra khỏi Internet cũng như các khách
hàng khác. Mức độ bảo mật tương đương như các dịch vụ lớp 2 như X.25,
frame relay và ATM.
• Dễ sử dụng (Ease of Operation)
VPN hạn chế yêu cầu đối với người dùng trong việc thực hiện các công
việc phức tạp như thiết kế mạng, cầu hình bộ định tuyến. Do vậy giảm rất
nhiều chi phí vận hành
• Một điểm liên hệ cho mọi yêu cầu (One Stop Shopping)
147
Các ISP cung cấp dịch vụ trọn gói với một điểm liên hệ duy nhất trên phạm
vi toàn Việt Nam. điều đó giúp đơn giản hoá việc triển khai các mạng quy
mô lớn.
• Đáp ứng nhiều dịch vụ
Ứng dụng trao đổi dữ liệu như truyền file, dịch vụ thư tín điện tử, chia sẻ
tài nguyên mạng (file hoặc máy in), cơ sở dữ liệu, Web nội bộ, Truyền ảnh,
Các ứng dụng ERP, các ứng dụng thiết kế kỹ thuật.
Truy nhập Internet và sử dụng các dịch vụ trên nền mạng này như một
khách hàng Internet trực tiếp bình thường.
Các ứng dụng về âm thanh, hình ảnh trong mạng riêng của khách hàng
(Khách hàng có khả năng thiết lập một tổng đài PBX sử dụng công nghệ IP
và có thể gọi trong phạm vi mạng nội bộ của mình).
Một số ứng dụng cao hơn như: hội thảo qua mạng MPLS VPN, hosting...
Mạng riêng ảo trên Internet cho phép tận dụng được những ưu thế của
Internet, đặc biệt khi phải thực hiện kết nối tới các điểm có khoảng cách xa.
Do một kết nối Internet có thể được dùng để nối tới nhiều điểm khác nhau,
nên Mạng riêng ảo có những ưu thế tổng hợp của các kết nối PPP, dialup,
và các dịch vụ mạng lưới. Đồng thời, VPN cho phép dễ dàng tích hợp nhiều
giao thức WAN khác nhau.
Tiết kiệm chi phí với mạng riêng ảo VPN:
Nếu dùng Internet cho các giao dịch LAN-to-LAN, theo đánh giá của một số tổ
chức nghiên cứu về mạng, có thể làm giảm tới 80% chi phí so với cách thức kết
nối WAN truyền thống. Hiện nay, nhiều công ty và tổ chức nhận thức được điều
này nhưng chưa thực hiện vì còn một vấn đề lớn cần quan tâm: an ninh. Mạng
riêng ảo (VPN) cung cấp một giải pháp hiệu quả cho vấn đề an ninh. VPN đưa ra
một cách thức – công nghệ kết nối các mạng LAN với nhau và với người dùng di
động an toàn và hiệu quả.
Nhưng phương thức này hiện chưa được dùng nhiều vì chưa đựoc đánh giá đầy đủ
về chi phí cũng như an ninh-an toàn.
Dùng kết nối ADSL là lựa chọn thứ 3:
ADSL (Asymetric Digital Subcriber Line) là công nghệ băng thông rộng cho phép
truy cập về trung tâm mạng hay vào internet với tốc độ cao.
ADSL tận dụng hệ thống cáp điện thoại bằng đồng có sẵn để truyền tải dữ liệu ở
tốc độ cao mà không cần phải lắp đặt thêm cáp quang (fibre-optic) hoặc cáp đồng,
148
tiết kiệm chi phí hơn. Tất cả các dạng ADSL hoạt động dựa trên nguyên tắc tách
băng thông trên đường cáp điện thoại thành hai: một phần nhỏ dành cho truyền âm,
phần lớn dành cho truyền tải dữ liệu ở tốc độ cao. Trên đường dây điện thoại thì
thực tế chỉ dùng một khoảng tần số rất nhỏ từ 0KHz đến 20KHz để truyền dữ liệu
âm thanh (điện thoại). Công nghệ ADSL tận dụng đặc điểm này để truyền dữ liệu
trên cùng đường dây, nhưng ở tần số 25.875 KHz đến 1.104 MHz. Do vậy ta vừa
có thể kết nối truyền số liệu vừa dùng điện thoại.
Đây là công nghệ rất mới cần được đánh giá.
So sánh đánh giá các phương thức kết nối WAN hiện có tại Việt Nam:
Dịch vụ
WAN
Một cổng
WAN có thể
nối tới:
Số lượng kết nối Đặc điểm chính
Dial-Up
Analog
Nhiều nơi Một • Nối một điểm tới một điểm
• Tốc độ hạn chế
ISDN Dial-
Up (BRI)
Nhiều nơi 1 đường (128K) hoặc
2 đường (mỗi đường
64K )
• Nối một điểm tới một điểm
• Chưa phổ biến ở Việt Nam,
Chỉ có ở Hà nội, Tp HCMC
ISDN Dial-
Up (PRI)
Nhiều nơi 30 đường (tới 64K mỗi
đường)
• Mô hình tập trung
• Nhiều kết nối đồng thời
• Chưa phổ biến ở Việt Nam
Leased Line Một nơi Một • Cố định điểm tới điểm
• Băng thông đảm bảo
• Độ tin cậy cao
Frame Relay Nhiều nơi Nhiều điểm • Một điểm tới nhiều điểm
• Băng thông đảm bảo
• Đang được khuyến khích phát
triển bởi Tổng CT BCVT VN
X.25 Nhiều nơi Nhiều điểm • Một điểm tới nhiều điểm
• Thường được dùng với các hạ
tầng viễn thông lạc hậu
mạng riêng
ảoVPN, qua
Nhiều nơi Nhiều điểm • Một điểm tới nhiều điểm
• Chi phí hấp dẫn đối với các
149
hạ tầng
Internet
mạng WAN khoảng cách xa
• Băng thông linh hoạt
• Độc lập với các dịch vụ diện
rộng nội bộ
ADSL Một nơi Một • Cố định điểm tới điểm
• Băng thông rất cao
• Chi phí hứa hẹn
• Hiện đang là dịch vụ thử
nghiệm
Dịch vụ
WAN
Băng thông Giá Độ sẵn có về địa lý
Analog • Tốc độ tới
56K
• Nội hạt thì rẻ, đường
dài và quốc tế còn đắt
Có ở khắp mọi nơi
ISDN Dial-
Up (BRI)
• Lên tới 64K
mỗi kênh
• được đảm
bảo tới 128K
• Cước tính theo thời
lượng sử dụng
Châu Âu rất thông dụng, tuy
nhiên chỉ một phần châu Á phát
triển loại hình này. Đang được
thử nghiệm ở Việt Nam.
ISDN Dial-
Up (PRI)
• 64K mỗi
kênh
• Cước tính theo thời
lượng sử dụng
Cũng như trên
Leased Line • 56K-1.5Mb
(T1)
• 64K-2Mb
(E1)
• 45Mb (T3)
• Phụ thuộc khoảng
cách và băng thông
Có ở khắp mọi nơi; có nhiều
lựa chọn.
Frame Relay • 56K-1.5Mb
(T1)
• 64K-2Mb
(E1)
• 45Mb (T3)
• Cước có thể tính theo
khoảng cách và băng
thông, cũng như có thể
tính theo dung lượng
truyền
Được phát triển chủ yếu ở Bắc
Mỹ và Tây Âu, Việt Nam đang
cố gắng đẩy loại hình này phát
triển.
X.25 • Tới 64K • Tính cước theo băng
thông hoặc theo thông
lượng
Chủ yếu ở các thị trường châu
Á, Mỹ La tinh và Đông Âu.
Việt Nam đang dùng ít.
150
Mạng riêng
ảo VPN trên
hạ tầng
internet
• 56K-1.5Mb
(T1)
• 64K-2Mb
(for E1)
• 45Mb (T3)
• Phụ thuộc vào giá
cước viễn thông nội
hạt để nối tới ISP và
giá quy định bởi ISP
Ở đâu có Internet thì có nó!
ADSL • 8Mb
(download)
• 800Kb
(upload)
• Càng gần
tổng đài tốc độ
càng cao
Chưa có giá chính thức Đang phổ biến ở nhiều nước
châu Á, đã có ở Hà nội , Hải
phòng, và TP HCMC
¾ Lựa chọn thiết bị:
Thiết bị, vật tư tối thiểu để xây dựng kết nối WAN trung tâm Trung tâm Thông tin
tới ISP, và tới các chi nhánh gồm có:
• Bộ định tuyến - Router
Thiết bị Router được lựa chọn phải đảm bảo:
o Có số lượng cổng WAN nhiều hơn các điểm cần kết nối. Có các
cổng LAN đủ nối với các phân đoạn mạng cần thiết. Có năng lực xử
lý đảm bảo không quá 60% yêu cầu, có số RAM đủ.
o Có Router dự phòng cho Router chính .
o Router phải được sản xuất bởi hãng có uy tín trên Thế giới, như
Cisco, Nortel,... để đảm bảo độ ổn định, tin cậy cao.
o Hỗ trợ các giao thức định tuyến động như RIP-1, OSPF, EIGRP,...
o Có các bộ giao tiếp cho phép thiết bị
tương thích với nhiều loại kết nối
trong điều kiện hạ tầng Viễn thông
hiện tại ở Việt Nam như
Ethernet/Fast Ethernet, T1/E1,
ISDN PRI, ISDN BRI, OC-3, ATM,...
o Đảm bảo tương thích để bảo toàn được chi phí đầu tư ban đầu cho
phía Khách hàng, .
151
Với yêu cầu ban đầu là 3 cổng WAN Router được chọn là Cisco Router
2621. Đây là thiết bị thỏa mãn mọi yêu cầu đặt ra của Dự án. Nó cho phép
đạt tốc độ xử lý 25 Kpps.Ngoài ra, nó còn hỗ trợ VLAN, IP VPN,... và các
bộ giao tiếp cắm thêm theo yêu cầu cho phép ta dễ dàng nâng cấp nếu cần.
• Modem số (xDSL Modem)
Là thiết bị nối giữa thiết bị truyền và đầu nối viễn thông, hay còn gọi là
thiết bị đầu cuối mạch dữ liệu DCE, thực hiện nhiệm vụ chuyển số liệu.
Modem số được lựa chọn cho Dự án Khách hàng phải thoả mãn các yêu cầu
sau đây:
o Được sản xuất bởi các hãng có danh tiếng trên Thế giới như Patton,
RAD, Pandatel, v.v...
o Thiết bị hỗ trợ tốc độ cao hơn trong trường hợp nâng cấp đường kết
nối mạng diện rộng. Pha đầu của Dự án Khách hàng, kênh thuê riêng
có tốc độ 128 Kbps;
o Đảm bảo độ chính xác cao, dữ liệu lưu thông qua phương thức đồng
bộ bằng nhau bằng cách
cung cấp nguồn định
thời;
o Đảm bảo điện áp luôn
thích hợp;
o An toàn dữ liệu cao, tìm
và hiệu chỉnh lỗi trong
quá trình truyền/nhận dòng thông tin;
o Hỗ trợ nén thông tin;
o Định hình tín hiệu số;
o Có khả năng chẩn đoán lỗi từ xa.
o Hỗ trợ quản trị từ xa qua các module ghép thêm tại tổng đài kết nối;
Modem được lựa chọn cho Dự án Trung tâm Thông tin là ASMi-50.
Đây là sản phẩm nổi tiếng của hãng RAD, hiện đang rất thông dụng tại Việt
Nam.
Dòng modem này cho phép truyền với khoảng cách xa tới 8,2 Km và tốc độ
cao nhất đạt 1152 Kbps.
• Access Server
152
Thiết bị Access Server đặt tại Trung tâm được thiết kế để đáp ứng nhu cầu
kết nối qua mạng PSTN cho khoảng 200÷300 tài khoản người dùng. Như
vậy hệ thống phải đáp ứng được nhiều cuộc gọi cùng lúc. Ngoài ra hệ thống
cũng cho phép lắp thêm đường truy cập trong trường hợp nâng cấp hệ thống.
Tại Trung tâm cấp truy cập qua mạng điện thoại của hệ thống mạng, ta
đăng ký số trượt cho các đường điện thoại truy cập của Dự án. Thiết bị
Access Server được đặt chế độ tự động trượt số trong trường hợp có nhiều
yêu cầu kết nối cùng lúc tới Trung tâm.
Các tài khoản người dùng được quản lý thông qua một phần mềm quản trị
tài khoản truy cập từ xa.
Phần mềm quản lý tài khoản truy nhập phải tương thích hoàn toàn với thiết
bị Access Server. Đồng thời nó cũng hỗ trợ sử dụng các giao thức bảo mật
tài khoản người dùng như CHAP/PAP, TACACS+, DES,...
Công tác quản trị người dùng truy cập được thông qua giao diện Web thân
thiện. Nhân viên quản trị mạng có thể dễ dàng chỉnh sửa, tạo/xoá các tài
khoản truy nhập.
Trong trường hợp nâng cấp hệ thống, các Access Server thế hệ mới được
lựa chọn cũng hỗ trợ kết nối tới mạng điện thoại công cộng thông qua các
kênh thuê riêng như T1/E1.
Sử dụng các Access Server thế hệ mới, ngoài việc nâng tốc độ kết nối
ngược dòng qua modem là 56K, nhờ vậy, tốc độ và độ ổn định của kết nối
dialup tới Trung tâm mạng cũng được cải thiện đáng kể.
Access Server có thể lựa chọn là loại Cisco Access Router 3620.
Đây là thiết bị đa chức năng được thiết kế cho một ISP cỡ nhỏ. Với hơn 20
module tuỳ chọn trên
một thiết bị, nó cho
phép tích hợp nhiều
giải pháp trên cùng
một thiết bị: đa giao
thức định tuyến, tích hợp tiếng nói/hình ảnh, tiếp nhận truy cập từ xa qua
Dialup, ...
Thiết bị thuộc họ 3600, có tính tương thích cao với nhiều loại kết nối Viễn
thông khác nhau như Ethernet/Fast Ethernet, T1/E1, ISDN PRI, ISDN BRI,
OC-3, ATM,....và các module tuỳ chọn thêm.
153
Tập hợp các
module trên
người ta gọi là
1 Slot. Mỗi
Slot cho phép
đặt nhiều nhất 16 đường kết nối không đồng bộ qua modem. Dòng 3620 có
02 Slot. Tuỳ theo yêu cầu sử dụng mà ta đặt hàng trong Slot gồm những
module nào?
Cisco 3620 sử dụng bộ xử lý R4700 80Mhz, cho phép đạt hiệu suất 20÷40
Kpps.
Hình 3-28: Access Server Cisco 3620
Kiến trúc Module:
Mỗi chức năng của hệ thống được bóc tách thành các module riêng. Đây là
loại kiến trúc có hiệu năng cao, cho phép bảo vệ đầu tư cho dự án của
Khách hàng và tích hợp nhiều chức năng trên cùng một thiết bị. Khi nhu
cầu của dự án ban đầu là dùng 3620 làm thiết bị phục vụ truy cập từ xa thì
ta chỉ cần đặt hàng cổng modem không đồng bộ trong tùy chọn.
Trong trường hợp dự án Khách hàng xây dựng hệ thống tiếp nhận các kết
nối Dialup của người dùng từ xa, thiết bị Cisco 3620 có thể phục vụ tối đa
32 người dùng cùng lúc kết nối vào hệ thống. Thực tế cho thấy hệ thống
tiếp nhận truy cập này có thể cung cấp cho khoảng xấp xỉ 500 người dùng
truy cập từ xa.
154
Ngoài ra, 3620 cũng cho phép ta lắp đặt thêm các module modem kỹ thuật
số trong trrường hợp hệ thống kết nối nâng cấp lên E1.
Chi tiết về thiết bị được mô tả bởi bảng dưới đây:
Các tính năng kỹ thuật Chi tiết
Các tính năng chung 24 ÷32 cổng modem analog dựng sẵn;
10/100 Ethernet LAN
Cho phép kết nối qua đường T1/E1 WAN qua
các cổng modem dựng sẵn;
Hỗ trợ các dòng modem analog 56K theo chuẩn
V90;
Cho phép cập nhật các phần mềm nâng cấp của
modem;
Hiệu suất cao, đạt 20÷40 (Kpps);
Hỗ trợ các kết nối an toàn bảo mật qua VPN,
bao gồm các tuỳ chọn như firewall, mã hoá dữ
liệu và các giao thức đường hầm.
Bộ vi xử lý 80-MHz IDT R4700 RISC
DRAM 4 ÷ 64 MB
NVRAM 32 KB
Flash memory (SIMM) 4 ÷ 32 MB
Flash memory
(PCMCIA)
2 ÷ 32 MB
Boot ROM 512 KB
Dimensions (H x W x D) 1.75 x 17.5 x 13.5 inches (4.4 x 44.5 x 34.3 cm)
Weight 23 lb (10.45 kg) maximum, including chassis
and two network modules
Input voltage, AC power
supply
Current
Frequency
Input surge current
(AC)
100 to 240 VAC, autoranging
1.0A
47 to 63 Hz
50A, one cycle
155
Input rating, DC power
supply
Operational between
Current
Input surge current
(DC)
-48 to -60 VDC
-36 to -72 VDC
3.0A
65A, 250mS
Power dissipation 60W (maximum)
Console and Auxiliary
ports
RJ-45 connector
Operating humidity 5 to 95%, noncondensing
Operating temperature 32 to 104\xb0 F (0 to 40\xb0 C)
Nonoperating
temperature
-40 to 185\xb0 F (-40 to 85\xb0 C)
Noise level 45 dBA (maximum)
Tóm lại, đây là thiết bị thoả mãn mọi yêu cầu đặt ra cho các thiết bị kết nối và truy
nhập mạng.
• Modem
Các modem được cấu hình để tự động trả lời cuộc gọi. Thông thường, cuộc
gọi được ấn định sau hai hồi chuông. Trong pha đầu của Dự án, kết nối
Dialup được thực hiện qua mạng điện thoại công cộng nên tốc độ ngược
dòng hạn chế là 33.6 Kbps. Do đó ta nên đặt cấu hình cho modem chạy với
tốc độ 38.400 bps để hiện tượng ngắt kết nối đột ngột.
Ta nên ghi cứng chuỗi khởi tạo cho modem để đề phòng trường hợp mất
điện hoặc sự cố. Khi Access Server phải khởi động lại, từ chuỗi khởi tạo
chung, nó sẽ nhận lại cấu hình đã được ghi cứng cho modem.
Giá đặt modem cần phải được thiết kế khoa học, vừa đủ không gian để
thoát nhiệt vừa đảm bảo mỹ quan cho phòng mạng.
Modem cho dự án – Khách hàng được lựa chọn là Fax modem US Robotic
56K.
156
Internet
PSTN
Access Server
TACACS Server
username:password
Yes/No
Mobile user
Router 2621
System
Administrator
Hình 3-29: Người dùng xa kết nối về tổng hành dinh qua mạng điện thoại công
¾ Tổ chức triển khai
Công tác cấu hình hệ thống WAN sẽ được triển khai sau khi hoàn thành lắp đặt hệ
thống LAN tại tòa nhà Trung tâm Thông tin.
Toàn bộ hệ thống WAN đã được chia thành các phân lớp mạng trong quá trình
thiết kế. Do đó, triển khai hệ thống theo từng phân lớp mạng.
Để đảm bảo đúng chất lượng và tiến độ thi công, công tác kiểm tra và giám sát sẽ
được tiến hành ngay sau khi hoàn thành từng phân đoạn mạng. Việc khiểm tra
từng phân hệ cho phép chúng ta bỏ qua giai đoạn triển khai thử nghiệm mà vẫn rút
ra được kinh nghiệm cô những phân đoạn tiếp theo.
Sau khi công trình hoàn thành hồ sơ thiết kế kỹ thuật, hồ sơ hoàn công của toàn bộ
mạng lưới cũng như hồ sơ cấu hình của tất cả thiết bị đã triển khai phải có đầy đủ,
và được bài giao cho nhóm quản trị mạng.
Kế hoạch triển khai.
Lịch triển khai được dự tính ngay trong thiết kế như sau:
Chi tiết Ngày
1 2 3 4 5 6 7 8 9 10
Cấu hình thiết bị
Kiểm tra và hoàn thiện hệ thống
Bàn giao kỹ thuật
157
Hình 3-30: Minh hoạ Wan backbone dùng chuẩn G.SHDSL/ADSL đã triển khai tại công ty NetNam
3.4 Tóm tắt chương 3
Phần đầu trình bày các kiến thức cơ bản về WAN, các yêu cầu khi thiết kế WAN,
các công nghệ và các thiết bị dùng cho kết nối WAN. Đồng thời đưa ra so sánh và
đánh giá các công nghệ này.
Phần hai trình bày phương pháp thiết kế WAN bao gồm các mô hình phục vụ cho
thiết kế và đi sâu vào mô hình an toàn an ninh, là một vấn đề đặc biệt quan trọng
khi thiết kế WAN. Trong phần này chúng tôi cũng đưa ra các bước phân tích và
thiết kế WAN.
Phần cuối trình bày chi tiết mẫu thiết kế hệ thống WAN đơn giản nhưng khá phổ
biến cho các cơ quan và tổ chức chính phủ ở Việt Nam hiện nay, đó là thiết kế
WAN cho Trung tâm Thông tin của một Bộ, ngành mà chúng tôi đã triển khai
trong thực tế.
158
4 Kết luận.
Là một đơn vị nghiên cứu, đồng thời là một ISP, chúng tôi đã trực tiếp thiết kế và
triển khai nhiều hệ thống mạng trong nhiều năm qua, chúng tôi cố gắng đưa vào
giáo trình những hiểu biết của mình nhằm giúp học viên các kiến thức cơ bản và
thực tế khi thiết kế và xây dựng hệ thống mạng LAN, WAN.
Do phải viết giáo trình trong thời gian quá ngắn nên không tránh khỏi nhiều thiếu
sót mong các đồng nghiệp chân thành góp ý.
159
5 Tài liệu tham khảo
[1] Internetworking Design Basics, Copyright Cisco Press 2003.
[2] Internetwork Design Guide, Copyright Cisco Press 2003.
[3] Ethernet Networks: Design, Implementation, Operation, Management.
Gilbert Held .Copyright 2003 John Wiley & Sons, Ltd.
[4] Internetworking Technologies Handbook. Copyright Cisco Press 2003.
[5] CCDA Exam Certification Guide. Anthony Bruno, Jacqueline Kim,
Copyright Cisco Press 2002.
[6] TCP/IP Network Administration. Craig Hunt, O'Reilly & Associates.
[7] ISP Network Design. IBM.
[8] LAN Design Manual. BICSI.
[9] Mạng máy tính. Nguyễn Gia Hiểu.
[10] Mạng căn bản. Nhà Xuất bản Thống kê.
Các file đính kèm theo tài liệu này:
- Giáo trình thiết kế mạng LAN WAN.pdf